Skip to main content

Gestión y control de privilegios administrativos (ITSAP.10.094)

julio 6, 2024


Junio ​​2024 | Serie de concientización

Un usuario con privilegios administrativos tiene más control que un usuario normal para modificar, personalizar o borrar datos en un sistema informático o red. A menudo, las organizaciones asignan estos privilegios elevados a cuentas de usuario generales. Esta práctica ofrece a los actores de amenazas externos, así como a los infiltrados maliciosos e involuntarios, otra forma de comprometer las redes de una organización. Cuando su organización administra y controla mejor sus privilegios administrativos, puede reducir su exposición a las amenazas cibernéticas comunes.

En esta página

¿Por qué los actores de amenazas apuntan a los privilegios administrativos?

Si los actores de amenazas obtienen acceso a una cuenta administrativa, pueden:

  • Utilice los privilegios elevados para afectar el entorno operativo de su organización
  • degradar o interrumpir el tráfico de la red
  • acceder a información sensible

Los atacantes también pueden conocer qué actividades de detección y recuperación están implementadas en sus sistemas, lo que les ayuda a evitar ser descubiertos y le impide detener futuros ataques.

Técnicas utilizadas para acceder a privilegios administrativos

Los cibercriminales utilizan distintas técnicas para obtener credenciales de cuentas de usuario que luego utilizan para acceder a redes y sistemas. Las vulnerabilidades iniciales suelen ser resultado de la actividad normal del usuario, como abrir un archivo adjunto de correo electrónico malicioso o visitar sitios web no seguros. Los cibercriminales también pueden aprovechar vulnerabilidades conocidas para aumentar sus privilegios o utilizar credenciales robadas para acceder a cuentas administrativas.

A continuación se presentan algunos métodos de ataque comunes que pueden provocar la vulneración de cuentas administrativas.

Malware y phishing

Los actores de amenazas obtienen acceso a cuentas administrativas locales o de dominio mediante el envío de un correo electrónico con archivos adjuntos maliciosos o enlaces a sitios maliciosos. Cuando un usuario que tiene privilegios administrativos o ha iniciado sesión como administrador abre el correo electrónico o visita el sitio, el actor de amenazas puede aprovechar las credenciales del administrador para implementar malware en su sistema.

Descifrado de contraseñas

Los actores de amenazas pueden intentar acceder a las cuentas directamente mediante ataques de descifrado de contraseñas, como:

  • fuerza brutadonde un actor de amenazas utiliza herramientas automatizadas para adivinar aleatoriamente combinaciones de contraseñas comunes
  • ataques basados ​​en diccionariodonde un actor de amenazas utiliza una lista de contraseñas de uso común para adivinar la contraseña correcta

Escalada de privilegios

Los actores de amenazas pueden explotar vulnerabilidades en su sistema o red, aprovechando dispositivos o aplicaciones que no han sido actualizados con los últimos parches de seguridad, para adquirir privilegios elevados dentro de sus sistemas de información.

Pasa el hash

Los actores de amenazas pueden reproducir las credenciales de autenticación cifradas del usuario, como una contraseña, desde una estación de trabajo comprometida. Estas credenciales cifradas permiten al actor de amenazas moverse lateralmente por la red. Cuando las credenciales han sido cifradas, se cambian de datos legibles a caracteres codificados mediante un algoritmo. Sin embargo, sin una mitigación adecuada, una credencial cifrada cifrada repetida puede usarse para crear una nueva sesión de inicio de sesión.

Consideraciones para proteger las cuentas administrativas

Al asignar cuentas de administrador o acceso privilegiado a los usuarios, su organización debe tomar las siguientes medidas:

  • Aplicar el principio del mínimo privilegio otorgando la mínima cantidad de acceso necesaria para que un usuario complete sus tareas.
  • Cree cuentas administrativas que sean independientes del inicio de sesión de acceso normal de los usuarios y que no puedan acceder a Internet ni al correo electrónico.
    • Asegúrese de que las tareas administrativas se realicen en consolas administrativas dedicadas
    • Asegúrese de que el acceso remoto a cuentas privilegiadas se realice en consolas dedicadas
  • Utilice métodos de autenticación fuertes
    • Utilice la autenticación multifactor para todas las cuentas administrativas
    • Utilice una contraseña o frase de contraseña única para cada cuenta privilegiada
    • Cambiar las contraseñas predeterminadas de aplicaciones y dispositivos
    • Autenticar a los usuarios antes de que se les conceda acceso a aplicaciones o dispositivos
  • Implementar la integridad de dos personas (TPI) y la autenticación dual
    • Requerir que al menos dos personas autorizadas accedan o realicen una tarea crítica al mismo tiempo para TPI
    • Requerir la aprobación de al menos dos personas autorizadas antes de aplicar cambios en el sistema para la autenticación dual
  • Asegúrese de que se atribuyan cuentas únicas e identificables a usuarios individuales
  • Registrar y supervisar acciones en cuentas privilegiadas
  • Proporcionar capacitación sobre los comportamientos esperados para los usuarios de cuentas privilegiadas
  • Eliminar y quitar privilegios de acceso especiales cuando los usuarios ya no los necesiten

Administrar cuentas no administrativas

Los actores de amenazas no solo están interesados ​​en obtener acceso a cuentas administrativas, sino que también aprovecharán cualquier cuenta de usuario para intentar obtener el mayor acceso posible.

Cuando su organización administra y controla las cuentas y los privilegios administrativos, crea un entorno operativo estable, confiable y de fácil mantenimiento. Un control de acceso y una administración de cuentas adecuados implican que menos usuarios pueden realizar cambios significativos en el entorno operativo.

Cuando los usuarios solo tienen acceso a los sistemas y a la información necesarios para realizar sus funciones laborales, su organización está mejor protegida de los agentes de amenazas externos. Los permisos de usuario administrados también limitarán el impacto de las amenazas internas no intencionales y maliciosas.

Aprende más

Para obtener más información, lea nuestras otras publicaciones:



Source link

Translate »